2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。今回のテーマは「脱PPAP」についてです。
※6月19日にITmediaビジネスオンラインにて掲載したものを、一部編集の上、転載しています
PPAPとは「パスワード付きZIPファイルとパスワードを同じ経路で送信する方法」のこと。「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字からなる造語で、元JIPDECで現PPAP総研代表の大泰司章氏が命名し、問題提起したのが始まりだといわれています。
政府がPPAP廃止を宣言してから3年。いまだにパスワード付きZIPファイルを送ってくる企業が少なくありません。なぜ日本企業はPPAPをやめられないのでしょうか。
マスクとPPAPは日本人特有の心遣い?
新型コロナウイルスの「緊急事態宣言の終了」が発表され、5類への変更もあり、ようやく人々がマスクから解放されつつあります。とはいえ、まだまだビジネス街を歩くとマスク装着率は高く、日本を訪れた外国人からは奇異に映るようです。
PPAPには、添付ファイルのウイルスチェックができず、Emotetなどの侵入を受けやすいなどの危険性があることが指摘され、内閣府は2020年11月26日に内閣府内のPPAPの利用を廃止しました。きっかけは、20年の平井卓也デジタル大臣(当時)の「PPAPやめます」のツイートでした。
ところが、今でも筆者のところにはパスワード付きZIPファイルが届きます。さすがに以前よりは少なくなったとはいえ、業務のやりとりの中で、PPAPで送らざるを得ない取引先も多いようです。
PPAPについて、当社がメールセキュリティの有識者と過去に行った座談会では、次のような見方が示されました。
「企業がお客さまとの取引をメールでやりとりをするようになり、ファイルを丁寧に圧縮して包んで送るという日本人特有の心遣いのイメージもあり、PPAPが定着したのではないでしょうか」(Internet Secure Services 徳田敏文氏)
いまだに3割がPPAPを利用
筆者が所属するサイバーソリューションズが、23年1月に実施したWebアンケートでは、「脱PPAP」を実施している企業は約7割で、その中にはPPAPと併用も3割含まれており、まさに過渡期。「PPAPのみ」を使用している企業もいまだ3割もあるという状況です。しかも大企業になればなるほど、PPAPの依存率が高まっています。
大企業であれば、情報システム部門のセキュリティ対策はそれなりに進んでいるはず。むしろ万全な対策をとらなければならないので、有効な代替策に悩んでいるといえそうです。
アダプティブ(適応型)なPPAP対策のススメ
PPAPがやめられないのはマスクを外せないことに似ていると書きましたが、マスクはあくまで「自主判断」。PPAPの場合は続けること自体がリスクであり「やめるべき」であることは明らかです。それでもやめられないのはなぜでしょうか?
PPAPの名付け親といわれる大泰司氏は、先の座談会で次のように語ります。
「多くの企業は取引先との関係でやめられない。もう1つは代替策がよく分からない。PPAPをやめた場合、どうすれば良いのかを教えてほしいと言われます」(大泰司氏)
自社では脱PPAPを進めていても、取引先の視点に立てば、それぞれの企業のルールがあります。こうした場合、多様な取引先のルールに合わせ、以下の方法を選択できるようにすることが、現実解といえるのではないでしょうか。
PPAPはなぜ危険なのか?
ここであらためて、PPAPがなぜ危険なのかを振り返ってみたいと思います。
添付ファイルを別送したメール記載のパスワードで解凍するPPAP形式の最大の問題は添付される圧縮ファイルにウイルスが含まれていても検知できないことです。
本連載の第1回で触れたように、圧縮された添付ファイルはウイルス対策のフィルターで検知されず、マルウェアなどの感染の原因は圧縮ファイルが最も高いのです。IPAの公開情報では、圧縮ファイルによる被害は22年に一度減ったものの再び比率が高まりつつあります。
さらに企業のガバナンスのルールにおいても、圧縮ファイルを統制することは困難です。
取引先や相手によっては適応せざるを得ない場合もあるとはいえ、メールセキュリティにおいて最大のリスク要因であり、廃絶すべきであることをここで強調しておきたいと思います。
「脱PPAPソリューション」を見極めるチェックリスト
先にあがった「PPAPを止めてもどうすれば良いか分からない」という心配についてはどうでしょうか。20年以降、多くのベンダーが「脱PPAPソリューション」を提供していますが、多くは添付ファイルの自動隔離、サーバ型など多岐にわたり、正直見極めるのは難しいところ。ストレージやサーバにアップロードし、URLを送付するものが多いのですが、それに付随する機能はさまざまです。
メールを送る相手によって選択できるものが良いと思われます。筆者が考えるチェックリストは以下です。参考にしていただければと思います(脱PPAPの項目が中心ですが、PPAPで受信するケースもあります。その時に考慮しなければいけないこともあわせて掲載しています)。
なかなか進まなかった脱PPAP。取引先のルールに対しては選択も幅を持ちながら柔軟に対応できる手法もそろってきています。もう一度実現化を検討してみてはいかがでしょうか。